Un kit de développement pour les applications proposé gratuitement par Yandex, le géant de la tech russe, collecte des informations, stockées ensuite sur des serveurs russes. La proximité entre l’entreprise et le Kremlin interroge sur l’utilisation finale de ces données.

Vos données personnelles terminent probablement sur des serveurs russes. Ce mardi 29 mars, le quotidien britannique Financial Times a révélé que des dizaines de milliers d’applications ont été développées grâce à un logiciel qui récupère les informations des utilisateurs. L’outil informatique est fourni par Yandex, un moteur de recherche russe, principal concurrent de Google dans ce pays. Les données récupérées sont par la suite stockées dans des serveurs en Russie et en Finlande.

Le Financial Times s’est appuyé sur les recherches de Zach Edwards, spécialiste dans le traitement de données Ce dernier est tombé sur les code de Yandex en travaillant sur une application dans le cadre d’une campagne d’audit pour Me2B Alliance, une organisation à but non lucratif. Le quotidien britannique a par la suite fait appel à quatre experts indépendants pour vérifier son travail.

Yandex propose un SDK (Sotfware Development Kit), un logiciel « kit de développement » pour les applications, appelé AppMetrica. Ce SDK permet aux applications d’intégrer des fonctions incontournables : cartographie, service de paiement, système de notifications etc. Le logiciel de Yandex est intéréssant pour les développeurs, puisqu’il est proposé gratuitement en échange d’un accès aux données des utilisateurs qui facilitent la publicité ciblée. D’autres entreprises à l’instar de Google proposent aussi des services équivalents.

Dans les griffes du Kremlin

Le « libre accès » d’AppMetrica en fait l’un des outils les plus utilisés sur le marche : 36% des applications sur Google Play passent par ce SDK et 11% sur l’App Store selon Appfigures. Parmi les services proposés figurent des jeux vidéo, des applications de messagerie et des réseaux virtuels privés (VPN), conçus pour naviguer sur le web sans être suivis. Sept applications VPN sont proposées spécifiquement pour le public ukrainien, selon Financial Times. Au total, ce seraient des applications installées des centaines de millions de fois qui seraient concernées.

Bien que la collecte d’informations fasse désormais partie du quotidien de chaque internaute, elle pose d’autant plus question lorsque les fameuses données privées terminent entre les mains d’une entreprise réputée proche du Kremlin.

Yandex est considéré comme le champion de la tech en Russie. Fait assez rare pour être souligné, le moteur de recherche russe tient tête à Google dans son pays et conserve 45 % des parts de marché contre 51 % pour le géant californien, selon StatCounter. L’entreprise moscovite ne s’arrête pas à la simple navigation puisqu’elle brille sur le marché local dans tous les nouveaux usages du numérique : livraison à domicile, VTC, e-commerce, service de vidéos en ligne…

Les ambitions de Yandex ne s’arrêtent pas à ses frontières, puisque le géant russe propose son service de VTC dans plusieurs pays de l’ex bloc soviétique. En avril 2021, le groupe pose un premier pied en France avec Yango Deli, un service de livraison de courses express.

skd populaire
Source : appfigures

La réalité du régime russe rattrape Yandex dans ce pays où il est difficile d’atteindre une telle dimension sans rendre de compte au Kremlin. En 2009, le gouvernement impose au géant tech d’intégrer des décisionnaires russes avant l’introduction de l’entreprise en bourse. Depuis 2016, le groupe est obligé de supprimer les contenus politiques jugés inappropriés par le Roskomnadzor (la Cnil russe). Plus récemment, le 1er mars, un ancien responsable de Yandex News, Lev Gershenzon, a publié une lettre sur Facebook dans laquelle il accusait presque ses anciens collègues de complicité avec l’État russe en cachant des nouvelles de la guerre.

Des applis conçues pour l’Ukraine

Les révélations du Financial Times tombent mal donc pour le géant de la tech. Yandex reconnaît devant les journalistes britanniques que son logiciel collecte des informations sur « l’appareil, le réseau et l’adresse IP » qui sont stockées « à la fois en Finlande et en Russie », mais il a qualifié ces données de « non personnalisées et très limitées ». Le groupe précise : « Bien que théoriquement possible, il est en pratique extrêmement difficile d’identifier les utilisateurs uniquement sur la base des informations collectées. Yandex ne peut certainement pas faire cela

La société a déclaré qu’elle ne collecte des données qu’après que l’application avait reçu le consentement des utilisateurs via les applications Android et iOS. Sauf que concrètement, à partir du moment où vous acceptez les conditions générales d’une app, les données sont potentiellement récupérées par AppMetrica.

Plusieurs entreprises ont décidé d’abandonner le logiciel après l’invasion de l’Ukraine par la Russie. « Nous avons pris la décision de cesser d’utiliser les services appartenant à la Russie lorsque la guerre a commencé », a déclaré un porte-parole de Gismart, qui fabrique des dizaines de jeux avec AppMetrica installé au Financial Times. Opera, un navigateur avec une option de VPN intégrée, a également déclaré avoir désactivé le SDK depuis le 15 février.

Yandex Appmetrica
Les conditions d’utilisations de l’appli Call Ukraine précise que // Source : BB

A l’inverse, plus de 2 000 applications ont ajouté le SDK AppMetrica depuis l’invasion de l’Ukraine avance le quotidien. Plusieurs ont été conçues pour viser directement la population ukrainienne. Parmi elles, Call Ukraine est un service de messagerie lancé sur Play Store le 10 mars dernier. Une fois les conditions acceptées, l’application récupère des informations sur son utilisateur et ses contacts téléphoniques. L’adresse mail en cas de souci est répertoriée en Russie : [email protected] Comme pour de nombreux autres services russes, le dilemme de leurs utilisations se pose désormais.